Хабрахабр

Импортозамещение на практике. Часть 1. Варианты

image

Введение

В связи с тем, что близится 2020 год и «час хэ», когда нужно будет отчитаться об исполнении приказа Минкомсвязи о переходе на отечественное ПО (в рамках импортозамещения), да не простое, а из реестра Минкомсвязи, мне прилетела задача о разработке плана, собственно, по исполнению приказа Министерства связи и массовых коммуникаций №334 от 29.06.2017. И начал я разбираться.

И вызвала она столько хайпа, под ней было написано столько комментариев, что я, честно говоря, был немного в шоке… Первая статья была о том, как не надо было делать «Вертолетам России».

Уж не знаю, насколько длинным будет этот цикл, но есть желание описать весь процесс от начала до конца, но времени на это не хватает, ибо написание статей занимает гору времени, а семью кормить надо =) Так что, как было обещано, пришла пора начать «цикл статей о том, как мы приказ исполняли и боролись с обстоятельствами».

Ибо прежде чем собирать стенд для испытаний надо понимать, что на нем испытывать.
Итак, прошу под кат.
Первая статья будет посвящена изучению существующих вариантов и их поверхностному анализу, чтобы составить схему изучения вариантов на практике.

Глава 1. Как есть

По порядку:

Почему и то и другое? Hyper-V, ESXI в качестве платформ виртуализации. Так исторически сложилось (с) Потому что одно в головном Предприятии, другое в филиале.

Windows Server 2012 R2 \ 2016 и CentOS 7 в качестве серверных ОСей

Windows 7 в качестве клиентских ОС

на стадии внедрения на базе MSSQLServer Standard

5 (Даже не спрашивайте… Но вы же все равно спросите, да?.. ТЕКТОН на Firebird 1. И теперь мы безуспешно пытаемся перейти с него на 1с..) Ну, это чей-то дЕпломный проект, который был куплен нашим Предприятием на рубеже 2005, кажется, по неизвестным мне причинам.

ОАЗИС на том же MSSQLServer Standard в качестве ПО для отчетов в ПФР

Zabbix на MariaDB

Зачем и то и то? Exchange и Zambra OSE. Один из которых никак не связан с внешним миром и вторым контуром… ну, ИБ считает, что так надо, и не разрешает нам настроить маршрутизацию и сделать все правильно, а кто мы такие, чтобы спорить с ИБ?.. Потому что у нас 2 контура сети. Словом, так исторически сложилось (с) (2)

Первый у нас для преддоговорной деятельности, второй — «рабочий» документооборот… Почему CompanyMedia на файловой БД в 2019м году? IFS на Oracle, CompanyMedia на IBM Domino. А почему такой монстр, как IFS нужен для преддоговорной деятельности? Не поверите, я им тот же вопрос задавал — они не придумали ответа. Да.

Тут надо пояснить. Microsoft Office. Что в ней и зачем — не имею ни малейшего понятия, но «она нам ну ооооочень нужна, мы без нее работать не сможем!», а на Excel у нас существует таааааааааакая штука… Разобраться, как это работает — невозможно, и как от этого уходить — тоже неизвестно. Помимо стандартного пользовательского набора, у нас с незапамятных времен (читай до моего прихода сюда) у нас тянется БД, написанная на Access. Как это работает, не знает даже автор сего творения. Там накручено огромное количество макросов, которые из тьмы файлов вытаскивают данные и что-то с ними делают. Переписывать это сродни редезайну БД… Словом, просто взять и уйти от MS Office мы не сможем.

Спутник в качестве интернет-браузера с недавнего времени

OpenFire + Pidgin в качестве чата

Консультант+ и ТехЭксперт

Veeam Backup & Replication и Veeam Agent for Windows в их бесплатной версии

Ну и куча виндовых серверных фишек, типа AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS и далее по мелочи.

И вот пришла пора все это уничтожить. Все это поднималось почти с нуля, потом и кровью, страданиями и гуглением. Тут должен быть закадровый гомерический хохот, а на глазах главного героя, читай меня, должны наворачиваться слезы…

Давайте смотреть варианты. Но так ли все ужасно?

Глава 2. Как должно быть

Можно пойти по пути «Вертолетов России», то есть попытаться полностью отринуть вражеские Windows-based системы, и перейти на 100% «отечественное» (кавычки не случайны) ПО. «Хардкорный» вариант предполагает весело снести всем Windows, поставить любую понравившуюся ОС из реестра Минкомсвязи с навернутым на нее МойОфис или LibreOffice, и смотреть, кто из пользователей выплывет. Весело? Безусловно. Продуктивно? Нисколько.

6, из которого следует, что всю инфраструктуру, которая сейчас основана на продуктах Microsoft можно заменить на ПО в составе Astra. Для понимания дальнейших рассуждений приведу содержание ПО в ОС Astra Linux SE 1. Я еще не пробовал все это в тестовой среде с хотя бы парой десятков узлов, только развернул тестовый стенд, да и то посмотрел пока поверхностно. Можно — не значит нужно. Но инструменты есть.

ПО в комплекте поставки Astra Linux Special Edition 1.6

  • Fly-wm
  • PostgreSQL
  • LibreOffice
  • Apache2
  • Firefox
  • Exim4
  • Dovecot
  • Thunderbird
  • GIMP
  • alsa
  • VLC
  • CUPS
  • Bind9
  • Iscdhcpserver
  • SAMBA

На сайте ОС в описании релиза есть сказ о том, что в составе присутствует Zabbix. Но если порыться в Wiki, то там есть статья о том, как установить Zabbix… из которой можно сделать вывод, что Apache, Postgre, php – все это устанавливается из репозитория. А мы выше говорили о том, что легитимно только то, что входит в состав пакета… И вот эта путаница выводит меня из себя!!!!11 Ну, в том смысле, что не ясно, что можно и нужно, а что нельзя и «не прокатит». По всему выходит, что пакеты из репозитория – тоже легитимны. Но так ли это? Кажется, что — да, но…

Отключаем логику и просто делаем так, как делают все. По итогу приходится полагать, что все, что есть в репозиториях ОС — можно назвать отечественным ПО. В конце концов все мы знаем, зачем все это было придумано.. Ставим, используем и отчитываемся о импортозамещении.

Это я тоже еще не пробовал. Так же можно поднять всю инфраструктуру и на базе ROSA Linux Enterprise Server. (Все тесты и результаты будут опубликованы в следующей статье данного цикла, если все пойдет как планируется.)

ПО в комплекте поставки ROSA Enterprise Linux Server

  • средства реализации домена IPA (аналога Microsoft Active Directory)
  • Nginx и Apache
  • MySQL и PostgreSQL
  • Zimbra, Exim, Postfix и Dovecot
  • pacemaker, corosync
  • DRBD
  • Bacula
  • ejabberd
  • CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
  • Zabbix
  • средство расширенного управления атрибутами ROSA Chattr
  • средство шифрования информации ROSA Crypto Tool
  • средство очистки памяти ROSA Memory Clean
  • средство гарантированного удаления файлов ROSA Shred

А можно взять бесплатный Calculate Linux и строить всю инфраструктуру на его базе. Список пакетов Calculate Linux можно посмотреть тут.

Это потребует колоссальных затрат ресурсов, тонны нервов админов, килотонны кофе и уйму времени на отладку. Из вышеперечисленного следует, что поднять всю необходимую инфраструктуру, по-сути, с нуля — можно. Но можно. Порог вхождения будет ну оооочень тяжело преодолимый. Но работать будет. Но сложно. Но… Но… Но сложно.

Но нам же надо отчитываться в министерстве по переходу на отечественное ПО за каждый год. Еще один вариант — оставить все как есть, и надеяться, что проверок не будет, и про нас просто забудут. Так что тоже не вариант.

Поэтому предлагаю подойти со стороны здравого смысла.

Существует вот такая табличка:

image

1.). Далее идут, по-сути, пространные рассуждения, так что кому не интересно, можете сразу переходить к результирующей табличке (Глава 2. А тех, кто любит многабукафф — милости прошу.

Нам надо привести показатели к установленным пределам. Так вот. Причем не делается различий между серверными и клиентскими ОСями. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%. Какой? Это дает нам простор для маневра. В нашем случае, когда количество сотрудников примерно 1500 человек, мы получаем 1200 «штук» (на самом деле больше, так как у нас не только пользовательские ОСи, но и серверные, но сейчас не о точных подсчетах статья), а 300 остается на те самые 20%, которые можно не менять. Мы можем втупую поставить пользователям тонких клиентов на базе ОС из реестра, и загнать их всех в RDP. Сюда же нужно отнести специфичное ПО, которое не умеет работать ни на чем, кроме Windows, причем часто еще и на Windows XP. И что, нам не хватит 300 серверов под Windows чтобы нормально построить привычную архитектуру? Не хватит? Но 300 машин. Серьезно?

Без этого есть огромный риск просто поставить на колени все производство, и парализовать работу всего Предприятия на неопределенный срок. Тут надо еще заметить, что best practice в данном случае будет заблаговременное обучение сотрудников работе с новым ПО. А вот в Офисе\1с они работают постоянно (не берем пока в расчет инженеров-конструкторов — про САПР есть сноска в Главе 2. Ибо если с ОС все не так страшно, пользователю зачастую от нее и не нужно ничего, кроме запуска Офисного приложения\браузера\1с, поиска нужного файла и запуска солитэра. — производство и т.д.), вся отчетность проходит через фильтры Excel и т.д. 1. Ну а для тех, кто по тем или иным причинам не может работать в бесплатном ПО — добро пожаловать на RDP.

Плюс к нему нужен «железный» контроллер домена + виртуальный контроллер домена. Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится, это 12 узлов в нашем случае, от ESXI придется уходить. Ну или оставить ESXi, уйдя от Hyper-V, кому как нравится, числа все равно будут те же. Итого 14. При небольшом количестве виндовых машин WSUS можно пренебречь. На Контроллерах домена у нас будет располагаться AD, DNS, DHCP, CS. WDS больше не нужен. KMS так же можно навернуть на контроллер домена. Ну так у нас осталось в запасе еще 286 неиспользованных потенциальных «штук» под Windows. Из Windows сервисов остаются еще RDP-серверы. Итого 276 единиц у нас осталось под специфичный софт для научных подразделений и САПР. RDP-ферма будет занимать еще 8-10 ОС Windows.

ОС

Не важно, какая это будет ОС — Astra, ROSA, Calculate, AlterOS, ЛОТОС, Halo OS. Выбирать надо то, что будет удовлетворять пользователей. Как выбирать — сказать не могу, это очень тонкие материи. По-сути, все они как минимум похожи внешне (а пользователю только это и важно ведь — как выглядит и насколько удобно пользоваться). Я просто установлю по паре каждой ОС и попрошу наименее занятых бухов по полчаса-час попользоваться. Что скажут — от того и будем плясать, наверное.
AlterOS и Halo OS в открытой продаже нет. А значит их я рассматривать не буду, ибо этот «не совсем бизнес» меня ну совсем не привлекает.

По поводу ОС ОСь

В лицензионном соглашении сказано:

4 Лицензионный договор не предоставляет исключительное право на Программный продукт, а только право использования в некоммерческих целях одной копии Программного продукта в соответствии с условиями, которые определены в разделе 2 Лицензионного договора. 1.

4 Лицензиат имеет право некоммерческого использования Программного продукта на неограниченном количестве серверов и рабочих станций. 2.

Это грустно по той причине, что она бесплатна. Таким образом, мы не можем использовать ее на Предприятии, хоть она и включена в реестр Минкомсвязи. Что? Но у разработчиков что-то с сайтом, потому что я уже несколько недель не могу скачать дистрибутив, а на письма в поддержку я ответа не получил. Не знаю.
Почему?

Офисные пакеты

Ситуация следующая — нам так же нужно привести число отечественных «офисов» к 80%, что так же составляет 1200 «штук». Эти 1200 «штук» уже идут в составе ОС на базе Linux, которую мы установим пользователям. Не важно, в составе всех дистрибутивов есть бесплатный офисный пакет. Чаще всего это LibreOffice. А вот на RDP-серверы мы можем смело поставить пакет от Microsoft, так как мы не хотим, чтобы пользователи выпали из работы на неопределенный промежуток времени (как минимум до прохождения обучения работе с новым офисным ПО), потому что они не могут найти в новом табличном редакторе свою любимую кнопку. Это так же имеет еще и отдельный плюс — резервное копирование документов сотрудников, которые будут лежать в одном месте, и смерть винчестера больше не страшна.

Exchange

Придется сносить. К сожалению, тут никак не обойти этот показатель в 80%, так как в приказе указано «количество пользователей», а не % от количества почтовых серверов на Предприятии. И так как нам нужно заменить его на что-то из реестра Минкомсвязи, выбор унас не особо велик. Это либо CommuniGate Pro, либо МойОфис Почта, или Р7-Офис. Сервер. А можно в обоих сетях поставить ROSA, у которой есть Zimbra, и радоваться, так как на мой вкус Zimbra гораздо удобнее и приятнее, нежели МойОфис Почта, который ужасен чуть более, чем полностью, и CommuniGate Pro мне тоже не понравился. Плюс Zimbra может запросто прихватить с Exchange всю почту при необходимости сохранить пользователям историю переписок. Btw, по Zimbra OSE я писал пару статей на Хабр (развертывание и настройка, резервное копирование и восстановление и создание и обновление списков рассылки на основе AD) Но, на вкус и цвет, как говорится.

Справочно-правовые системы

Если они и были, то скорее всего это какой-нибудь Гарант, Консультант+, ТехЭксперт и иже с ними. То бишь они российского производства. Если нет — выбор есть =)

Антивирусное ПО

Так же 100% должно быть отечественным. Ну не могут доверить защиту отечественной оборонки буржуйским программам… На выбор — Kaspersky, Dr.Web, Nano.

Veeam

С ним ситуация странная. Veeam BackUp and Replication. С другой стороны, в приказе министерства отсутствует графа «ПО для резервного копирования». У него есть версия, сертифицированная ФСТЭК, но в реестре Минкомсвязи вообще никаких продуктов от Veeam. В случае, если мы оставляет Windows-based сервисы, и тем более Hyper-V, Veeam очень сильно облегчает резервное копирование виртуалок, он очень удобен и неприхотлив, а Veeam agent for Windows позволяет бэкапить файловую помойку, у него очень простая настройка и удобный интерфейс, есть автоматическое определение дублирования данных и их отсечение и т.д. Так что тут ситуация двоякая. Попытка не пытка, но что из этого выйдет, я сказать не берусь.
Словом, если мы оставляет гипервизор от Microsoft, можно попробовать написать бумажку о том, что аналогов у Veeam нет, и что он нам ну ооочень нужен.

И вроде бы даже она и работает. Тут начинаются вопросы, так как вроде бы и есть у них версия под Linux. По этому придется нам еще одну виндовую машинку отрядить под сервер 1с. Но на деле ее никто не использует. Итого 274 осталось. А то и две. Не смотря на то, что он не отечественный, но он есть в реестре Минкомсвзяи. СУБД — PostgreSQL, конечно же. Не проста в настройке, но весьма и зело неплоха. 1с умеет с ней работать, а сама СУБД весьма неплоха. К тому же легко встает на любой Linux-дистрибутив, а в составе той же Astra вообще поставляется в комплекте.

Документооборот

Ну, с IFS понятно, от него придется уходить 100%. Company Media — остаются вопросы. ПО отечественное, есть в реестре Минкомсвязи, все дела. Но. IBM Domino лицензируется и покупается отдельно, а следовательно, не может использоваться. С другой стороны, у Company Media есть версия для PostgreSQL. Но у нас внедряли именно IBM Domino. Да, у меня стойкий негатив к этому «продукту» компании Интертраст с названием Company Media, у меня начинает бомбить от одного его упоминания. Но к делу это не относится. Так что либо мы перевозим CM на PostgreSQL, либо ищем другую систему документооборота. В реестре есть из чего выбрать. Но на данном этапе я не буду останавливаться на этом вопросе, так как денег на Company Media было потрачено много, а дальнейшая его судьба пока не ясна, но хочется верить в здравый смысл и просто перевод системы на PostgreSQL. Так что просто оставлю список ПО из реестра.

Средства мультимедиа

Мало того, что они узкоприменимы, так на Предприятиях, подпадающих под программу импортозамещения, они если и используются, то только для коллажирования открыток к 23 февраля сотрудницами бухгалтерии. Не рассматриваю. А «товары первой необходимости» присутствуют в составе ОС.

Интернет-браузеры

Разрешены Яндекс.Браузер, Спутник. При этом, в составе почти всех ОС из реестра присутствует Mozilla Firefox. Думаю, с этим как раз проблем не возникнет. А для приложений, которые могут только в InternetExplorer мы оставили лазейку в виде RDP-серверов.

OpenFire

Почему? Естественно, отказываемся. На самом деле отказываемся мы не по этому, а потому, что его нет в реестре, но в целом чат мы заменяем на портал, в котором есть сервис чата, так что… ну… эт самое… вы поняли. Потому что нам нужно внедрить 1с Битрикс24! Ага. Вот. Или же можно использовать ejabberd в качестве jabber-сервера в составе ROSA Linux. Да. Это на случай, если у вас 1с Битрикса24 нет.
Там же есть клиент чата, если не ошибаюсь — Мирка.

Zabbix

В реестре Минкомсвязи, естественно, не представлен. Но. В релизе Astra Linux 1.6 заявлено, что в него включен Zabbix версии 3.4. Так что если мы хотим получить «законный» Zabbix, то потребуется как минимум одна копия этой ОС.

Почтовый клиент

Если не устраивает он — то придется покупать отдельно, в составе того же МойОфис, например, или «Р7-Офис. Представлен Thunderbird в комплекте почти всех ОС из реестра. Если честно, то я больше не нашел в реестре минкомсвязи отдельных почтовых клиентов. Органайзер». Если напишете в коментах — допишу сюда.
Да меня и Thunderbird устроил.

Банк клиенты

По идее, Криптопро умеет в Linux, на деле же лично я не проверял. Надо тестировать. В теории работать должно, но если что-то пойдет не так, то у нас есть вариант с RDP-сервером.

Глава 2.1. Сведение

В итоге у меня получилась вот такая табличка с вариантами, на основе которой и будут делаться выводы и строиться планы:
image

Что логично — если все же есть необходимость перейти с домена Windows на Astra или Rosa, или еще какой, то есть смысл и клиентские машины перевести на продукт того же производителя, так можно уменьшить количество ошибок при попытках «подружить» одно с другим.

PRO версия более продуктивна. По отношению PostgreSQL и PostgreSQL PRO надо понимать, что у них есть существенные отличия, в том числе и в быстродействии. Для «нормальной» работы той же 1с бесплатной версии скорее всего не хватит.

Astra Linux SpecialEdition и ROSA DX «НИКЕЛЬ» — это защищенные системы, сертифицированные для работы с гостайной, секреткой и т.д.

У ROSA Linux в репозиториях есть следующие пакеты:
Что касается САПР: В комментариях к предыдущей статье эти вопросы звучали.

  • Freecad
  • KiCAD
  • LibreCAD
  • Opencascade
  • QCAD
  • QCAD3d

Естественно, все это свободное ПО. Но, так как в реестре Минкомсвязи CAD-пакетов не обозначено, то скорее всего этот тип программного обеспечения подпадет под категорию «незаменимый», и его можно будет закупить или использовать по уже имеющимся лицензиям, написав в министерство соответствующую бумагу.

Придется писать бумаги и слёзно умолять не губить, и предоставить возможность продолжать работать. То же самое и с другим узкоспециализированным софтом, коего на наших Предприятиях, к сожалению, немало. Скорее всего разрешение дадут.

P.S.:

Не буду оригинальным. Вся эта «возня» с импортозамещением выглядит крайне странно, если выбирать мягкие выражения. По-сути, у нас ПО производит только Яндекс, Acronis, Kaspersky, 10-Strike (с натяжкой), , Аскон, Abby, Dr.Web. Ну и еще кучка небольших компаний. Но все это настолько узкие нишевые разработки (за исключением Яндекса, пожалуй), что можно говорить о том, что софта у нас почти не делают. А все, что нам предлагается в рамках программы импортозамещения — просто «проверенный» софт зарубежной разработки. То есть по-сути, нам предлагают за деньги (и немалые) то же ПО, которое мы могли бы скачать и использовать бесплатно. ROSA сделана на базе Mandriva, Astra — Debian GNU. Астре можно подключить репозиторий Debian и сделать upgrade. Интересная штука получается в итоге. Все пакеты для тех же DNS, DHCP, ALD, ROSA Domain, Dovecot и все остальное — это ни что иное, как пакеты открытого ПО, часть из которых немножко «подкрасили и отштукатурили», а остальные вообще не трогали, просто «проверили» на наличие закладок. О каком «отечественном софте» идет речь — неясно.

Но как бы то ни было, всем подконтрольным отраслевым Предприятиям переходить на этот «отечественный» софт придется. С другой стороны, Linux-админам будет привычно работать с уже знакомым ПО, что несколько снизит порог вхождения. Так что «до встречи в следующей статье», если меня за эту не посадят и не уволят =)

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть